설명은 IPsec Windows 7 및 Windows Vista 서비스 팩 1, Windows Server 2008에 추가 된 Suite B 암호화 알고리즘에 대 한 지원

기술 자료 번역 기술 자료 번역
기술 자료: 949856 - 이 문서가 적용되는 제품 보기.
Windows Vista 서비스 팩 1 (SP1)에 대한 지원은2011년 7월 12 일에 종료 되었습니다. Windows 용 보안 업데이트를 계속 받으시려면, Windows Vista 서비스 팩 2 (SP2)를 실행하고 있어야 합니다. 자세한 내용은이 Microsoft 웹 페이지를 참조 하십시오. 일부 버전의 Windows에 대 한 지원 종료.
모두 확대 | 모두 축소

이 페이지에서

소개

Windows Vista 서비스 팩 1 (SP1) 및 Windows Server 2008에 추가 된 Suite B 암호화 알고리즘에 대 한 지원을 설명 합니다. 제품군 B 미국 국립 보안 에이전시 (NSA)에 의해 승인 된 암호화 알고리즘 그룹입니다.

Suite B는 상호 운용 가능한 암호화 프레임 워크로 중요 한 데이터를 보호 하는 데 사용 됩니다. Suite B 알고리즘 다음 영역에 대 한 확장 된 지원:
  • 주 모드
  • 빠른 모드
  • 인증 설정
Suite B 알고리즘을 사용 하 여 인터넷 프로토콜 보안 (IPsec) 정책 구성 구문을 설명 합니다.

추가 정보

지원 제한 사항

Suite B에 대 한 지원 제한 다음과 같습니다.
  • Windows Server 2008 또는 이후 버전의 Windows에서 작성 및 Suite B 알고리즘을 사용 하 여 IPsec 정책의 적용 Windows Vista 서비스 팩 1 (SP1) 에서만에서 지원 됩니다.
  • Suite B 알고리즘을 포함 하는 정책을 작성 하는 "Windows 방화벽 고급 보안이 설정 된" Microsoft 관리 콘솔 (MMC) 스냅인에서 Windows 7 및 Windows 최신 버전을 통해 지원 됩니다.
  • Netsh advfirewall 도움말 명령을 Suite B 알고리즘에 대 한 구성 옵션을 표시 하지 않습니다. Windows Vista s p 1에만 적용 됩니다.

정의

  • 제품군 B

    제품군 B 국내 보안 에이전시 (NSA)에 의해 지정 된 표준 집합입니다. 제품군 B 업계의 광범위 한 미국 정부 요구 충족 시키는 제품을 만드는 데 사용할 수 있는 암호화 알고리즘 공통 집합 함께 제공 합니다. Suite B 알고리즘은 다음과 같은 유형의 사양 포함 됩니다.
    • 무결성
    • 암호화
    • 키 교환
    • 디지털 서명
  • 연방 정보 처리 표준 (FIPS)

    FIPS 지침 및 연방 컴퓨팅 리소스를 제어 하는 표준 집합입니다. 모든 Suite B 알고리즘은 FIPS 승인.

    자세한 내용을 보려면 다음 웹 사이트를 방문하십시오.
    http://www.itl.nist.gov/fipspubs/geninfo.htm
  • NIST

    국립 표준 및 기술 머리글자어입니다.
  • 데이터 무결성 알고리즘

    데이터 무결성 알고리즘 메시지 해시를 사용 하 여 정보가 변경 되지 않도록 하 고 전송 되는 동안에 있는지 확인 하십시오.
  • 데이터 암호화 알고리즘

    데이터 암호화 알고리즘은 전송 되는 정보를 숨기려면 사용 됩니다. 암호화 알고리즘은 일반 텍스트 비밀 코드를 변환 하는 데 사용 됩니다.

    예를 들어, 암호화 알고리즘 암호문을 일반 텍스트로 변환할 수 있습니다. 암호 텍스트에 다음 원래 일반 텍스트 디코딩할 수 있습니다. 각 알고리즘의 변환을 수행 하기 위해 "키"를 사용 합니다. 키 형식과 키 길이 사용 되는 알고리즘에 따라 달라 집니다.
  • IPsec

    "인터넷 프로토콜 보안" 이라는 용어에 대 한 약어입니다.

    IPsec에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.
    http://technet.microsoft.com/en-us/network/bb531150.aspx
  • 타원 곡선 디지털 서명 알고리즘 (ECDSA)

    타원 곡선 (EC) EC 그룹을 작동 하는 디지털 서명 알고리즘의 변형입니다. EC 변형 같은 보안 수준에 대 한 작은 키 크기를 제공합니다.

    이 알고리즘은 186 2 FIPS 발행물에서 설명 되어 있습니다. 이 발행물을 보려면 다음 웹 사이트를 방문 합니다.
    http://csrc.nist.gov/publications/fips/archive/fips186-2/fips186-2.pdf
  • 인증 기관 (CA)

    인증 기관에 디지털 인증서를 발급 하는 엔티티는. IPsec 인증 방법으로 이러한 인증서를 사용할 수 있습니다.
  • 인증 헤더 (AH)

    인증 헤더 전체 패킷에 대해 인증, 무결성 및 재생 방지 기능을 제공 하는 IPsec 프로토콜입니다. IP 헤더 및 데이터 페이로드가 포함 됩니다.

    AH 기밀성을 제공 하지 않습니다. 즉, AH 데이터를 암호화 하지 않습니다. 데이터를 읽을 수 있지만 쓰기 가능한 아닙니다.
  • 캡슐화 보안 페이로드 (ESP)

    ESP은 기밀성, 인증, 무결성 및 재생 방지 기능을 제공 하는 IPsec 프로토콜입니다. ESP는 단독으로 사용할 수 또는 AH 함께 사용할 수 있습니다.

주 모드 알고리즘

Windows Vista SP1 및 Windows Server 2008 릴리스 버전의 Windows Vista에서 이미 지원 되는 알고리즘 외에도 다음 무결성 알고리즘 지원 됩니다.
  • S H A-256
  • S H A-384
참고 키 교환 알고리즘 및 암호화 알고리즘이 변경 되지 않습니다.

빠른 모드 알고리즘

Windows Vista SP1 및 Windows Server 2008 릴리스 버전의 Windows Vista에서 이미 지원 되는 알고리즘 외에도 다음 알고리즘 지원 됩니다.

무결성 (AH 또는 ESP)

  • S H A-256
  • AES GMAC-128
  • AES-GMAC-192
  • AES GMAC-256

무결성 및 암호화 (ESP에만 해당)

  • AES GCM-128
  • AES-GCM-192
  • AES GCM-256
지원 되 고 지원 되지 않는 AH 및 ESP 조합에 대 한 자세한 내용은 참조 하십시오 "빠른 모드 암호화 알고리즘 조합 지원 되지 않는 하 지원" 섹션입니다.

빠른 모드 제한

  • AH와 ESP에 동일한 무결성 알고리즘을 사용 해야.
  • GMAC AES 알고리즘은 무결성 알고리즘을 널 암호화가 있습니다. 따라서 ESP 무결성 이러한 알고리즘의 지정 된 경우는 암호화 알고리즘을 지정할 수 없습니다.
  • AES-GCM 알고리즘을 사용 하면 동일한 알고리즘 ESP 무결성 및 암호화에 대해 지정 되어야 합니다.

인증

Windows Vista SP1 및 Windows Server 2008에서 이미 Windows Vista의 릴리스 버전에서 지원 되는 인증 방법 외에도 다음과 같은 인증 방법은 사용할 수 있습니다.
  • ECDSA P256 서명을 사용 하 여 컴퓨터 인증서
  • ECDSA P384 서명을 사용 하 여 컴퓨터 인증서
참고 Windows Vista에 대 한 기본 인증 방법은 RSA SecurId 인증입니다.

구문 및 예제

추가 하 고 연결 보안 규칙을 수정 하려면 Netsh advfirewall 명령을 사용 하기 위한 구문을 설명 합니다. 이 단원에서는 명령 Netsh advfirewall 의 예입니다.

연결 보안 규칙 추가

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
예제 1
Netsh advfirewall 명령을 다음 예를 살펴보겠습니다.
Netsh advfirewall consec 규칙 이름을 추가 test1 endpoint1 = 모든 endpoint2 = 조치 = = requestinrequestout에 대 한 = "ECDSA256 사용 하 여 인증서 및 AESGMAC256" auth1 = computercert, computercertecdsap256 auth1ca = "C = 미국, O MSFT, CN = \ 'Microsoft 북부, 남부, 동부, 및 서 부 루트 Authority\' =" auth1healthcert 없음 auth1ecdsap256ca = = "C = 미국, O MSFT, CN = \ 'Microsoft 북부, 남부, 동부, 및 서 부 루트 Authority\' =" auth1ecdsap256healthcert qmsecmethods yes = = 아: aesgmac256 + esp:aesgmac256-없음
이 명령은 설정 인증에서 다음 인증 방법을 가진 연결 보안 규칙을 만듭니다.
  • 첫 번째 인증 방법은 RSA 인증서 서명에 사용 된 인증서입니다.
  • 두 번째 인증 방법은 상태 인증서를 인증서 서명에 ECDSA256 사용 합니다.
연결 보안 규칙을 AH 및 ESP 무결성 새 GMAC AES 256 알고리즘을 사용 하 여 트래픽을 보호 합니다. 규칙에서 암호화를 포함 하지 않습니다.
예제 2
Netsh advfirewall 명령을 다음 예를 살펴보겠습니다.
Netsh advfirewall consec 규칙 이름을 추가 test2 endpoint1 = = endpoint2 모든 조치 = = requestinrequestout에 대 한 "무결성에 대 한 s h A 256을 사용 하 여" 및 암호화 위한 AES192 auth1 = computercert auth1ca = = "C = 미국, O MSFT, CN = \ 'Microsoft 북부, 남부, 동부, 및 서 부 루트 Authority\' =" auth1healthcert 없음 qmsecmethods = = 아: sha256 + esp:sha256-aes192
이 명령은 하나의 인증 방법이 인증에서 설정 된 연결 보안 규칙을 만듭니다. 인증 방법은 RSA 인증서 서명에 사용 된 인증서입니다.

연결 보안 규칙을 AH 및 ESP 무결성 SHA256 무결성 및 암호화 위한 AES192 사용 하 여이 사용 하 여 트래픽을 보호 합니다.

기존 연결 보안 규칙을 수정 합니다.

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
다음의 명령에서 만든 규칙을 업데이트 하는 예제는 "예제 1" 이전 섹션에서:
Netsh advfirewall consec 규칙 이름 설정 테스트 새 qmsecmethods = = 아: aesgmac256 + esp:aesgcm256-aesgcm256
이 명령은 AES-GCM 256 ESP 무결성 및 암호화를 사용 하 고 GMAC AES 256 AH 무결성을 사용 하 여 규칙을 업데이트 합니다.

전역 주 모드 설정

Netsh advfirewall 전역 설정 명령에 대 한 다음 도움말 텍스트가입니다.
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked and the CRL exists in the client’s CRL cache (default behavior)and the CRL exists in the client’s CRL cache (default behavior)                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
다음은 새 SHA 알고리즘은 주 모드 암호화 집합의 사용 하는 명령의 예입니다.
Netsh advfirewall mmsecmethods dhgroup1:3des 전역 주 모드 설정-sha256, sha384 3des

문제 해결, 구성 및 확인 명령

"Netsh advfirewall consec 쇼 모든 규칙" 명령

명령 Netsh advfirewall의 consec 표시 모든 규칙에 는 모든 연결 보안 규칙 구성을 표시합니다.

다음은이 명령의 출력 샘플입니다.
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

"Netsh 표시 합니다" 명령

Netsh advfirewall 모니터 표시 합니다 명령 주 모드 보안 연결을 표시합니다.

다음은이 명령의 출력 샘플입니다.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

"Netsh advfirewall 모니터 쇼 qmsa" 명령

Netsh advfirewall 모니터 qmsa show 명령을 빠른 모드 보안 연결을 표시합니다.

다음은이 명령의 출력 샘플입니다.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

"Netsh advfirewall show 글로벌" 명령

표시 글로벌 명령을 전역 설정을 표시합니다.

다음은이 명령의 출력 샘플입니다.
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

상호 운용성

만들기, 적용 및 Suite B 알고리즘을 사용 하는 IPsec 정책 관리는 Windows Server 2008 및 Windows Vista s p 1에 도입 되었습니다. 만 Windows Server 2008 또는 Windows Vista SP1 출시 된 도구를 사용 하 여 Suite B 알고리즘을 포함 하는 그룹 정책을 관리할 수 있습니다.

샘플 시나리오 및 예상 된 결과 다음과 같습니다.

시나리오 1

새 암호화 알고리즘을 사용 하 여 Windows Vista의 릴리스 버전을 실행 하는 컴퓨터에 Windows Server 2008 또는 Windows Vista s p 1을 실행 중인 컴퓨터에서 만든 정책을 적용 합니다.
예상된 결과
새 암호화 알고리즘을 사용 하는 암호화 제품군 규칙이 있으면 이러한 암호화 제품군 삭제 되 고 다른 암호화 제품군 암호화 집합에서 대신 사용 됩니다.

어떤 규칙에서 암호화 제품군 인식 되는 경우 전체 규칙이 삭제 됩니다. 이벤트 규칙을 처리할 수 없습니다 나타내는 기록 됩니다. 따라서 키 교환 암호화 집합의 모든 암호화 제품군 삭제 된 경우 정책에서 연결 보안 규칙을 적용 하지 않습니다. 그러나 모든 방화벽 규칙이 여전히 적용 됩니다.

인증 설정 프로세스 집합 암호화 프로세스와 유사합니다. 포함 하는 정책 (P256 ECDSA 또는 ECDSA P384) 새 인증서 플래그 릴리스 버전의 Windows Vista를 실행 하는 컴퓨터에 적용 되 면 인증 방법을 삭제 됩니다.

따라서 첫 번째 인증 집합에 있는 모든 인증 방법이 삭제, 전체 규칙이 처리 되지 않습니다. 첫 번째 인증에만 사용 하 여 규칙이 처리 되는 두 번째 인증 집합에 있는 모든 인증 방법이 삭제 된 경우 설정 합니다.

시나리오 2

Windows Vista의 릴리스 버전을 실행 하는 컴퓨터에서 Windows Server 2008 또는 Windows Vista s p 1을 실행 중인 컴퓨터에서 만든 정책을 보려면 새 암호화 알고리즘을 사용 합니다.
예상된 결과
새 알고리즘 모니터링 및 Windows 방화벽 고급 보안 MMC 스냅인을 부분을 제작 "알 수 없음"으로 표시 됩니다. 또한 Netsh advfirewall 명령을 Windows Vista에서 "알 수 없음"으로 알고리즘을 표시합니다.

상호 운용성에 대 한 제한

상호 운용성에 대 한 제한 사항은 다음과 같습니다.
  • Suite B 알고리즘을 사용 하 여 Windows Vista의 릴리스 버전을 실행 하는 컴퓨터에서 Windows Vista SP1 또는 Windows Server 2008을 실행 하는 컴퓨터에서 정책 원격 관리는 지원 되지 않습니다.
  • Windows Vista의 릴리스 버전을 실행 하는 컴퓨터에 Windows Vista SP1 또는 Windows Server 2008을 실행 중인 컴퓨터에서 만든 정책을 가져오면 정책의 일부가 삭제 됩니다. Windows Vista의 릴리스 버전 새로운 알고리즘을 인식할 수 없는 때문에 발생 합니다.

지원 되 고 지원 되지 않는 있는 빠른 모드 암호화 알고리즘 조합

다음 표에서 지원 되는 빠른 모드 암호화 알고리즘의 조합을 보여 줍니다.
표 축소표 확대
프로토콜아 무결성ESP 무결성암호화
AES-GMAC 128없음없음
AES-GMAC 192없음없음
256 AES-GMAC없음없음
SHA256없음없음
S H A 1없음없음
MD5없음없음
ESP없음AES-GMAC 128없음
ESP없음AES-GMAC 192없음
ESP없음256 AES-GMAC없음
ESP없음SHA256없음
ESP없음S H A 1없음
ESP없음MD5없음
ESP없음SHA256AES-GCM 알고리즘 제외한 모든 지원 되는 암호화 알고리즘
ESP없음S H A 1AES-GCM 알고리즘 제외한 모든 지원 되는 암호화 알고리즘
ESP없음MD5AES-GCM 알고리즘 제외한 모든 지원 되는 암호화 알고리즘
ESP없음AES-GCM 128AES-GCM 128
ESP없음AES-GCM 192AES-GCM 192
ESP없음AES-GCM 256AES-GCM 256
아 + ESPAES-GMAC 128AES-GMAC 128없음
아 + ESPAES-GMAC 128AES-GMAC 128없음
아 + ESPAES-GMAC 128AES-GMAC 128없음
아 + ESPS H A-256S H A-256없음
아 + ESPS H A 1S H A 1없음
아 + ESPMD5MD5없음
아 + ESPSHA256SHA256AES-GCM 알고리즘 제외한 모든 지원 되는 암호화 알고리즘
아 + ESPS H A 1S H A 1AES-GCM 알고리즘 제외한 모든 지원 되는 암호화 알고리즘
아 + ESPMD5MD5AES-GCM 알고리즘 제외한 모든 지원 되는 암호화 알고리즘
아 + ESPAES-GMAC 128AES-GCM 128AES-GCM 128
아 + ESPAES-GMAC 192AES-GCM 192AES-GCM 192
아 + ESP256 AES-GMACAES-GCM 256AES-GCM 256
참고AES GMAC 같습니다 AES-GCM null 암호화를 사용 합니다. 예를 들어, AH 무결성 GMAC AES 128을 사용 하 여 지정할 수 있습니다 및 ESP 무결성 AES-GCM 128을 사용 하 여 지정할 수 있습니다. AH 및 ESP 무결성 알고리즘 동일한 있어야 한다는 규칙의 유일한 예외입니다.

다음 표에서 설명 하는 조합은 지원 되지 않습니다.
표 축소표 확대
프로토콜아 무결성ESP 무결성암호화
ESP없음AES-GMAC 128모든 지원 되는 암호화 알고리즘
ESP없음AES-GMAC 192모든 지원 되는 암호화 알고리즘
ESP없음256 AES-GMAC모든 지원 되는 암호화 알고리즘
ESP없음AES-GCM 1281. 없음
2. 모든 암호화 알고리즘을 AES-GCM 128 제외
ESP없음AES-GCM 1921. 없음
2. 모든 암호화 알고리즘을 AES-GCM 192 제외
ESP없음AES-GCM 2561. 없음
2. 모든 암호화 알고리즘을 AES-GCM 256 제외
아 + ESPAES-GMAC 128AES-GMAC 128모든 지원 되는 암호화 알고리즘
아 + ESPAES-GMAC 192AES-GMAC 192모든 지원 되는 암호화 알고리즘
아 + ESP256 AES-GMAC256 AES-GMAC모든 지원 되는 암호화 알고리즘
Suite B에 대 한 자세한 내용은 다음 웹 사이트를 방문 하십시오.
http://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml
IPsec 연결 보안 규칙에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.
http://go.microsoft.com/fwlink/?linkid=96525
Windows Server 2008에서 차세대 암호화에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.
http://technet2.microsoft.com/windowsserver2008/en/library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true
자세한 내용을 보시려면, Microsoft 기술 자료의 다음 문서 번호를 클릭해 주십시오.
949299 조건 모드 공통 IPsec에 대 한 Windows 방화벽을 구성 하려면 Windows Vista 서비스 팩 1에 추가 된 암호화 운영자 보안 그룹에 대 한

속성

기술 자료: 949856 - 마지막 검토: 2013년 9월 21일 토요일 - 수정: 5.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Vista Service Pack 1?을(를) 다음과 함께 사용했을 때
    • Windows Vista Business
    • Windows Vista Business 64-bit edition
    • Windows Vista Enterprise
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate
    • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
키워드:?
kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtko
기계 번역된 문서
이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.
이 문서의 영문 버전 보기:949856

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com